Si vous êtes un utilisateur de WiFi File Transfer, une appli mobile Android qui permet d’importer ou d’exporter des fichiers à partir d’une connexion sans fil, ne l’ouvrez jamais lorsque vous êtes dans un hotspot public. Un groupe de chercheurs en sécurité de l’université de Michigan a récemment découvert que cette appli permettait à une personne malintentionnée d’accéder au terminal sur lequel elle était installée et voler des données. Un risque qui impacte des dizaines de millions de personnes, si l’on croit les chiffres de téléchargement de Google Play.
En effet, pour gérer le transfert de données, l’application ouvre temporairement un port de communication, mais celui n’est pas protégé. Un pirate qui se trouverait sur le même réseau Wi-Fi peut donc aisément réaliser un scan des adresses IP, découvrir par hasard le port ouvert et s’y connecter sans aucune authentification. Mieux : un malware installé sur le terminal pourrait détecter l’ouverture de port et s’y connecter également. Il pourrait alors extraire facilement les données accessibles par WiFi File Transfer et les transmettre à un serveur distant. Les chercheurs démontrent cela dans une vidéo YouTube.
https://www.youtube.com/watch?v=9rcQfX5U_T0
Mais ce type de problème n’est pas limité à WiFi File Transfer. Les chercheurs ont développé une plate-forme d’audit automatique baptisée OPAnalyser et ont scruté à la loupe le code de plus de 100.000 applications Android. Ils ont présenté leur étude à l’occasion de la conférence IEEE European Symposium S&P, qui s’est déroulée récemment à Paris. Parmi toutes ces applis, environ 10.000 ouvrent des ports de communication dans le cadre de leurs fonctionnalités (supposées ou cachées). Au final, les chercheurs ont découvert 410 applications vulnérables au travers de ce vecteur de communication. Ces vulnérabilités ont pu été vérifiées manuellement pour 57 d’entre-elles, dont certaines sont très populaires (nombre de téléchargements entre 10 et 50 millions). On y trouve des applications de partage de fichiers (Wifi File Transfer, Virtual Data Cable…), des proxy (CacheProxy, Fast Secure VPN…) ou des accès distants (PhonePal, AirDroid…).
Un problème qui n’est pas nouveau
Le cas de Virtual Data Cable est emblématique car dans cette application, le port de communication est ouvert en permanence et l’utilisateur n’est jamais averti d’une connexion. L’exploitation de cette faille est donc particulièrement facile, comme le montre cette autre vidéo de démonstration.
https://www.youtube.com/watch?v=7T7FBuCFM6A
Le cas d’AirDroid est également à souligner, car cette application est notamment intégrée par défaut sur des Chromebook Samsung. Le logiciel a été corrigé il y a quelques jours, après les révélations des chercheurs. Les utilisateurs sont invités à la mettre à jour. L’exploitation de la vulnérabilité n’était possible qu’à partir du moment où le terminal était déjà infecté par un malware capable de détourner le processus de validation d’accès, comme le montre cette vidéo de démonstration.
https://www.youtube.com/watch?v=dIE5HF3LcBc
Le problème de la sécurité de ports de connexion n’est totalement nouveau. Fin 2015, un kit de développement diffusé par l’éditeur chinois Baidu avait pour effet d’ouvrir des ports de communication dans les applications dans lesquelles il était intégré. Plus de cent millions de terminaux étaient impactés par ce problème, comme le soulignait l’agence européenne Enisa.
En tant qu’utilisateur, il n’est pas facile de se protéger contre ce type de problème. La seule solution serait d’installer sur le terminal un pare-feu personnel qui filtre les connexions entrantes et sortantes. Mais en pratique, il n’est pas simple de paramétrer à l’avance ce firewall car les connexions légitimes peuvent provenir de nombreuses machines différentes, aussi bien des serveurs distants que des ordinateurs locaux. Au final, la balle est dans le camp des développeurs, qui sont invités à mettre en place les fonctions de contrôle adéquates pour éviter qu’une appli mobile se retrouve ouverte à tout vent.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.